Имейл тестове с файлове, съдържащи вируси и спам
Съдържание
Когато решим да ползваме продукти или услуги, свързани по някакъв начин със сигурността на нашите компютърни системи, добра практика е никога да не се доверяваме напълно на описанието на разработиците, а да тестваме как се справя приложението в реални условия.
Но как може да тестваме приложението като не разполагаме с вируси или спам съобщения за тестови цели? За наша радост не се налага да си създаваме собствена лаборатория с вируси тъй като вече има разработени тестови скриптове, съдържащи напълно безопасен за нашата система код, който обаче се разпознава от приложенията за сигурност като вирус.
В статията ще ви покажем как може да тестваме сигурността на нашата мейл система в ICN.Bg хостинг с помощта на популярните тест инструменти Eicar Antivirus Test File и GTUBE (Generic Test for Unsolicited Bulk Email).
Eicar Antivirus Test File
Тестовият файл за антивирусни изследвания EICAR е разработен от Европейския институт за компютърни антивирусни изследвания (EICAR) и Организацията за компютърни антивирусни изследвания (CARO), за да се тества отговорът на антивирусните програми.
Вместо да използва истински зловреден софтуер, който може да причини реални щети, този тестов файл позволява да се тества антивирусен софтуер без да се налага използването на истински компютърен вирус.
Антивирусните програмисти създават низа EICAR като следват модели на идентифицирани вирусни сигнатури (код). Качествен скенер за вируси, когато открие файла, би трябвало да реагира по същия начин, както ако открие вирус в реална среда.
Изтегляне на Eicar тест файл
За да може да тестваме различни ситуации, разработчиците на EICAR ни предоставят 4 файла за изтегляне:
- eicar.com - EICAR test file;
- eicar.com.txt - копира eicar.com като текстов файл;
- eicar_com.zip - ZIP файл за тестване на архиви;
- eicarcom2.zip - ZIP архив, съдържащ предишния файл, който проверява дали вирусният скенер проверява архивите само на първо ниво;
Важно: EICAR не носи отговорност за каквито и да било щети, следствие от работата на нашата антивирусна програма и предоставените файлове. Също така не предоставя никаква помощ за премахване на тези файлове от вашия компютър. При нужда от помощ трябва да се свържем с производителя на антивирусната програма.
На следната страница https://www.eicar.org/?page_id=3950
е публикувана таблица, която съдържа всички тестови файлове като може да ги изтеглим през незащитена HTTP или защитена връзка HTTPS (препоръчително):
Ако вашата антивирусна програма не ви позволи да изтеглите файла eicar.com
може да копирате текстовия файл eicar.com.txt
и да го преименувате на eicar.com
. Файловете се записват в директория на нашия компютър:
Ако отворим тестовия файл eicar.com.txt
с текстов редактор ще открием следния низ от ASCII символи:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Файлът не е вирус и не включва фрагменти от реален вирусен код, а представлява легитимна DOS програма, която при стартиране отпечатва съобщението "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!".
Нашата цел е да използваме тестовите файлове в имейли за да проверим как работи ситемата за сканиране на имейли в споделен хостинг.
От пощенска кутия в споделен ICN.Bg хостинг план опитваме да изпратим изтеглените по-рано EICAR тестови файлове по един в писмо. Системата за сканиране на изходящата поща не ни позволи в нито един от случаите да изпратим писмото!
Публикуваме съобщенията за грешка при всеки отделен опит заедно с вида на тестовия файл.
Тестов низ в съдържанието на имейла:
Прикачен изпълним файл:
Прикачен компресиран файл:
Прикачен компресиран архив:
От външна публична поща опитахме да изпратим писмо с текстовия тестов файл за да проверим сканирането на входящата поща - писмото беше отхвърлено от мейл системата на ICN.Bg хостинга:
Със същата грешка бяха отхвърлени съобщенията, съдържащи другите три разновидности на тестовия вирус файла - изпълим файл, архив и компресиран архив:
message text rejected by [domain]:
550 ({HEX}EICAR.TEST.3.UNOFFICIAL)
Обобщение на резултатите от тестовете с EICAR test file
Системата за сигурност на ICN.Bg споделен хостинг не позволи както изпращането на съобщения, съдържащи всички четири варианта на тестовия вирус файл, така и получаването на съобщения, съдържащи същите тестови вируси.
GTUBE (Generic Test for Unsolicited Bulk Email)
GTUBE е общ тест за нежелана групова електронна поща, разработен от създателите на Apache SpamAssassin. GTUBE предоставя 68-байтов текстов низ, чрез който може да проверим дали антиспам филтъра SpamAssassin е инсталиран и конфигуриран правилно и дали открива входящ спам по начин, подобен на тестовия антивирус файл EICAR.
Сканиране на съобщение, съдържащто GTUBE, в SpamAssassin връща антиспам резултат 1000
по подразбиране, което е напълно достатъчно за да задейства всяка SpamAssassin инсталация (припомняме, че антиспам резултата на SpamAssassin по подразбиране е 5
).
Съдържанието на GTUBE низ е показано по-долу:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
Тестовият низ трябва да бъде поставен на един ред без прекъсване на реда и без празни интервали.
Имейл съобщение във формат RFC-822, съдържащо GTUBE, изглежда по този начин:
Subject: Test spam mail (GTUBE)
Message-ID:
Date: Wed, 23 Jul 2003 23:30:00 +0200
From: Sender
To: Recipient
Precedence: junk
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
This is the GTUBE, the
Generic
Test for
Unsolicited
Bulk
Email
If your spam filter supports it, the GTUBE provides a test by which you
can verify that the filter is installed correctly and is detecting incoming
spam. You can send yourself a test mail containing the following string of
characters (in upper case and with no white spaces and line breaks):
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
You should send this test mail from an account outside of your network.
Текстов файл със същото съобщение може да бъде изтеглен от URL https://spamassassin.apache.org/gtube/gtube.txt
.
Нека тестваме изпращане и получаване на имейл съобщение, съдържащо GTUBE към и от поща в споделен хостинг от ICN.Bg.
Тест на входяща и изходяща поща с GTUBE файл
От външна публична пощенска кутия опитахме да изпратим имейл със съдържанието на RFC-822 GTUBE файла, но получихме следната грешка:
Мейл сървърът на хостинга в ICN.Bg отхвърли писмото с грешката от изображението - 550 "Пощенският сървър класифицира вашето съобщение като спам и предотврати доставянето."
От Thunderbird акаунт към поща в ICN.Bg хостинг опитахме да изпратим писмо със същото (RFC-822 GTUBE) съдържание. Системата за сканиране на изходяща поща обаче и в този случай (както в теста EICAR), не ни позволи да изпратим съобщението:
И в двата теста - EICAR и GTUBE, мейл системата на споделения ICN.Bg хостинг предотврати категорично както получаването, така и изпращането на имейл съобщения, съдържащи тестови вируси и спам.